1 / 25

Découvrir la PKI

Découvrir la PKI. Présentation du vendredi 18 octobre 2002. Une définition. PKI : Public Key Infrastructure, en anglais IGC : Infrastructure de Gestion de Clés ou ICP : Infrastructure à Clés Publiques en français

koko
Download Presentation

Découvrir la PKI

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Découvrir la PKI Présentation du vendredi 18 octobre 2002

  2. Une définition PKI : Public Key Infrastructure, en anglais IGC : Infrastructure de Gestion de Clés ou ICP : Infrastructure à Clés Publiques en français C’est un système de gestion de clés de chiffrement et de certificats qui constitue un cadre à l’usage des techniques de cryptographie.

  3. C’est un système de gestion de clés de chiffrement et de certificats qui constitue un cadre à l’usage des techniques de cryptographie. Cette présentation portera principalement sur 3 points : 1- la législation en France concernant le sujet, ce qu’apporte la cryptographie et comment s’en servir … 2- description du certificat, ce qu’il contient … 3- les composantes du « système de gestion » … et- vues chez l’utilisateur … Suivis d’une conclusion S’il reste du temps, je ferais une démonstration de la création de l’AC puis créations de certificats et utilisation dans Outlook Express ..

  4. Synthèse de la réglementation française en matière de cryptologie * uniquement des pays extérieurs à l'Union européenne. **soumise à DÉCLARATION seulement si le fournisseur ou l'importateur ne l'a pas déjà déclaré et si le moyen de cryptologie n'est pas exclusivement destiné à usage personnel. *** un tiers de confiance est une organisation agréée par la DCSSI pour gérer les clés de chiffrement des utilisateurs. Ce tiers de confiance doit remettre les clés aux autorités judiciaires et de sécurité sur requête de leur part. ****à condition que lesdits matériels ou logiciels aient fait l'objet d'une autorisation de fourniture en vue d'une utilisation générale. Sinon, une demande d'autorisation d'utilisation personnelle doit être adressée à la DCSSI

  5. Les textes français actuellement en vigueur sont les suivants  Loi n° 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information et relative à la signature électronique. Les aspects importants de cette loi sont : la redéfinition de la preuve littérale, la consécration de la force probante de l'écrit électronique et la reconnaissance juridique de la signature électronique.  Décret n° 2001-272 du 30 mars 2001 pris pour l'application de l'article 1316-4 du code civil et relatif à la signature électronique. Ce décret traduit en droit français les exigences de la Directive européenne relatives aux signatures électroniques.  Décret n°2002-535 du 18 avril 2002, relatif à l'évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l'information.

  6. Définition JuridiqueLa législation française se fonde sur la directive européenne N° 1999/93/CE du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques. Définition juridique de la signature Le nouvel article 1316-4 du Code civil introduit une définition générale de la signature, valable quelle qu'en soit sa forme, manuscrite, électronique, ou autre :«  La signature nécessaire à la perfection d'un acte juridique identifie celui qui l'appose. Elle manifeste le consentement des parties aux obligations qui découlent de cet acte ». Cet article précise ensuite le cas de la signature électronique : «  Lorsqu'elle est électronique, elle consiste en l'usage d'un procédé fiable d'identification, garantissant son lien avec l'acte auquel elle s'attache » La signature remplit donc deux fonctions juridiques principales : identification de l'auteur et manifestation de son consentement. Signature électronique sécurisée Une signature électronique sécurisée est une signature électronique qui satisfait aux exigences suivantes :  être propre au signataire (identité du signataire)  être créée par des moyens que le signataire puisse garder sous son contrôle exclusif (consentement du signataire)  garantir avec l'acte auquel elle s'attache un lien tel que toute modification ultérieure de l'acte soit détectable (intégrité de l'acte). La réalisation d'une signature sécurisée est une des conditions à remplir pour que la fiabilité d'un procédé de signature soit présumée.

  7. Une PKI est donc une structure qui permet de gérer les certificats (l´identité numérique) et les clefs de chiffrement d´un ensemble d´utilisateurs (servant à la signature numérique et au cryptage). C´est une « couche de gestion » qui s´occupe de délivrer les certificats, assure leur valeur et leur validité, et permet à tout le monde d´utiliser la cryptographie. La cryptographie est traditionnellement utilisée pour dissimuler des messages aux yeux de certains utilisateurs. Désormais, la cryptographie sert non seulement à préserver la confidentialité des données mais aussi à garantir leur intégrité, leur authenticité et le caractère non-répudiable des documents signés.

  8. La confidentialité La confidentialité consiste à rendre l'information inintelligible à d'autres personnes que les acteurs de la transaction. L'intégrité Vérifier l'intégrité des données consiste à déterminer si les données n'ont pas été altérées durant la communication (de manière fortuite ou intentionnelle). L'authentification L'authentification consiste à assurer l'identité d'un utilisateur, c'est-à-dire de garantir à chacun des correspondants que son partenaire est bien celui qu'il croit être. Un contrôle d'accès peut permettre (par exemple par le moyen d'un mot de passe qui devra être crypté) l'accès à des ressources uniquement aux personnes autorisées. La non-répudiation La non-répudiation de l'information est la garantie qu'aucun des correspondants ne pourra nier la transaction.

  9. Principes de la signature électronique par cryptographie asymétrique Le signataire dispose de 2 clés liées mathématiquement l'une à l'autre (bi-clé) : une clé privée que le signataire conserve secrète et qui lui sert à signer un fichier numérique (plus précisément un condensé de ce fichier) une clé publique associée, connue de tous, permettant à chacun de vérifier l'intégrité du document signé : le fichier a bien été signé avec la clé privée correspondant à la clé publique et il n'a pas été modifié depuis.

  10. Bonjour Cher Ami Aujourd'hui le prog …. Bonjour Cher Ami Aujourd'hui le prog …. Bonjour Cher Ami Aujourd'hui le prog …. Hash = empreinte de longueur fixe Décryptage Cryptage Ma Clé PUBLIQUE Ma Clé PRIVEE Hash = empreinte de longueur fixe Hash = empreinte de longueur fixe SIGNATURE électronique - L'authenticité du signataire est vérifiée - l'expéditeur ne peut nier avoir envoyé le message (non répudiation de l'expéditeur), la signature a bien été créée avec la clé privé dont on détient la partie publique le message n'a pas été altéré donc - vérification de l'intégrité du message si le message avait été crypté alors on aurait assuré la confidentialité Identiques OUI NON Le message a été altéré … DANGER

  11. A ce stade l'intégrité du fichier est garantie mais pas l'identité du signataire (l’attaque du « man in the middle » diffuse une fausse clé). Il faut en effet être assuré que le bi-clé dont on a vérifié le lien mathématique appartient bien au signataire. Ce problème est résolu par l'utilisation d'une carte d'identité électronique délivrée et signée par un tiers de confiance, appelé Autorité de Certification. Cette carte d'identité est associée à la clé publique et s'appelle certificat de clé publique (on le désignera par le terme : « certificat »). Ainsi chacun sera assuré de l'identité du signataire dès lors : qu'il fera confiance à l'AC ayant émis le certificat du signataire etqu'il aura vérifié, en consultant une liste publiée tenue à jour et signée par l'Autorité de Certification, que cecertificat n'a pas été révoqué à l'instant de la signature (penser à l'analogie de la mise en opposition d'une carte bancaire).

  12. Bonjour Cher Ami Aujourd'hui le prog …. Bonjour Cher Ami Aujourd'hui le prog …. Bonjour Cher Ami Aujourd'hui le prog …. Hash = empreinte de longueur fixe Cryptage Ma Clé PUBLIQUE Ma Clé PRIVEE Ma Clé publique est extraite du message mais la confiance ne peut s'instaurer car mon destinataire n'a pas le certificat de l'autorité de certification pour valider ma clé … soit le je lui envoie ou bien il va le chercher sur le site de l'AC SIGNATURE électronique La confiance n'est instaurée que par les Autorités de Certification, pas par les utilisateurs ...

  13. Certificat X509

  14. Certificate: Data: Version: 3 (0x2) Serial Number: 2 (0x2) Signature Algorithm: md5WithRSAEncryption Issuer: C=FR, ST=FRANCE, L=ROUEN, O=INSA, OU=Service Informatique Reseau, CN=INSA-AC-TEST/Email=ca-admin@insa-rouen.fr Validity Not Before: Jul 16 12:53:57 2002 GMT Not After : Jul 16 12:53:57 2003 GMT Subject: CN=Jose GONCALVES/Email=jose.goncalves@insa-rouen.fr Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (2048 bit) Modulus (2048 bit): 00:9b:51:cb:61:d1:f3:32:24:cf:0a:10:fa:5c:ae: etc. Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Subject Alternative Name: email:jose.goncalves@insa-rouen.fr Netscape CA Policy Url: http://www.insa-rouen.fr/policy.html Signature Algorithm: md5WithRSAEncryption 68:dc:55:4e:cd:dd:b8:06:f2:3e:0a:99:63:de:24:b9:5d:a3: etc.

  15. Un certificat visualisé dans Windows 98, ainsi qu’une LCR … C’est la même AC qui a signé les 2

  16. Une PKI se compose de •  L’ensemble des services permettant de : • – créer des certificats, • – de les publier • – d’en prolonger la validité • – de les révoquer • – de les recouvrer •  De l’autorité d’enregistrement (AE) qui vérifie les données des demandes de certificats, •  De l’autorité de certification (AC) qui établit les certificats sur la base de ce que l’AE a validé.

  17. Pour maintenir le niveau de confiance, dont chacun la crédite, la PKI doit publier sa : • politique d’enregistrement •  politiques de certification • politique de révocation • politique de recouvrement • politique de sécurité • audit des politiques

  18. La mise en place d’une PKI requiert de nombreuses ressources selon le type d’infrastructure souhaitée. Cela s’accompagne, le plus souvent, d’une nécessaire restructuration de l’Organisation …

  19. Le composant logiciel Afin d’en diminuer le coût apparent et surtout d’accéder aux sources, la solution la plus connue est l’utilisation du logiciel libre OpenSSL. Bien que des versions compilées existent dans l’environnement Windows, la meilleure solution reste l’utilisation d’une plate-forme Linux. Les icônes dans Windows 98 Liste de révocation Certificat, clé privée Certificat, clé publique Certificat, au format carte de visite

  20. Chez l’utilisateur final (Outlook Express)

  21. Réception d’un message chiffré

  22. Possibilités offertes lors de l’émission

  23. En conclusion C’est l ’architecture bâtie autour des standards X509, LDAP, SSL-TLS et S/MIME qui devrait s’imposer dans la construction des PKI à condition que de plus en plus d’applications utilisent les certificats. Prochaine étape : le poste client. Mais ceci est une autre étude …

More Related